Mejores prácticas para optimizar la Respuesta a Incidentes en la nube en el 2021
Según un informe reciente, el 75% de las empresas están preocupadas por la seguridad de sus activos, datos y sistemas en la nube. Dado que el coste medio mundial de una violación de datos asciende a 3,86 millones de dólares, nunca ha sido tan importante poder detectar, prevenir y resolver los incidentes de la forma más eficaz y rápida posible.
Pero hacerlo puede ser todo un reto. El panorama de la nube evoluciona rápidamente y de forma constante, la sofisticación de las amenazas es cada vez mayor, las API no están protegidas y el código abierto utilizado en los entornos de la nube es intrínsecamente vulnerable.
Esto hace que sea difícil para los equipos de DevSecOps, DevOps y de seguridad seguir el ritmo, y los actores de las amenazas han tomado nota. También han observado que, con demasiada frecuencia, los datos se duplican en entornos de nube insuficientemente protegidos o incluso no supervisados. Esto deja a la organización expuesta al riesgo y vulnerable a los ataques.
Para superar este reto, mejorar la respuesta a los incidentes y reforzar la postura de seguridad de la organización, debe adoptarse una mentalidad de seguridad que dé prioridad a la nube en lo que respecta a la planificación de los procesos de respuesta a los incidentes, la investigación de estos y la respuesta a ellos.
Echemos un vistazo a los pilares clave de esta mentalidad centrada en la nube.
1. Planificación
«La migración de sistemas a la nube no es un proceso sencillo, algo que también se aplica al proceso de respuesta a incidentes. La nube es un reino distinto, y como es de esperar, la respuesta a incidentes en la nube también lo es». (Cloud Security Alliance)
La respuesta a los incidentes debe formar parte de la estrategia y la planificación de la migración a la nube desde el principio. De lo contrario, la pauta de respuesta seguirá un camino reactivo frente a uno proactivo, lo que conduce a retrasos en la resolución, pérdidas financieras y posibles daños al valor de la marca.
En consecuencia, los requisitos de respuesta a incidentes deben tenerse en cuenta en la configuración de los entornos en la nube para garantizar que la respuesta pueda automatizarse y orquestarse eficazmente.
Hay tres ámbitos importantes para la seguridad en la nube frente a la on-prem, y que deben tenerse en cuenta durante la fase de planificación de la nube:
- Gobernanza para garantizar el cumplimiento de la normativa
- Visibilidad a través de sistemas, datos y puntos finales múltiples y desconfiados
- Responsabilidad compartida, con la nube como facilitadora de todas las funciones y partes interesadas de la organización
2. Investigación
Por ejemplo, el aprovechamiento de los archivos de registro operativo proporcionados por el proveedor de servicios en la nube permite a los usuarios acceder a información no sólo sobre las operaciones del servicio, sino también sobre los incidentes de seguridad.
Al investigar un incidente, proporcionan información valiosa que quedará fuera del alcance del atacante. Incluso si los sistemas o servicios en la nube son atacados y comprometidos, los archivos de registro están protegidos y, por tanto, no pueden ser eliminados.
Otro valor para la respuesta a incidentes reside en el hecho de que los registros pueden ayudar a los usuarios a identificar la dirección IP del atacante, la cronología del ataque y los sistemas que fueron objeto de este.
Cabe señalar que todos los principales proveedores de servicios en la nube ofrecen estas capacidades de registro, algunos en un modelo de pago por servicio, mientras que otros ofrecen el servicio de forma gratuita. Amazon Web Services (AWS), por ejemplo, ofrece múltiples capacidades de registro, incluyendo CloudTrail para el registro de auditoría, GuardDuty para la supervisión de la seguridad y CloudWatch para la supervisión de las aplicaciones.
Control a nivel de Hypervisor
Otra característica de la computación en nube que puede ayudar en el esfuerzo de respuesta es el control a nivel de hypervisor. Es decir, en un entorno de nube -que se compone de máquinas virtuales (VM), el hypervisor es el software que controla estas VM. Cuando los usuarios tienen una cuenta a nivel de hypervisor, pueden crear, suspender o eliminar sistemas en el entorno de producción en cualquier momento.
En el caso de un incidente, tener el control a nivel de hypervisor también les permite crear instantáneas de las instancias comprometidas que pueden ser usadas en la recolección de evidencia durante la investigación del incidente.
3. Respuesta y contención
Con el objetivo de acelerar la respuesta a incidentes en la nube, se recomienda mantener un entorno de respuesta a incidentes dedicado en la nube. De este modo, cuando se produce un incidente, los responsables de la respuesta pueden ejecutar más fácilmente acciones de contención a corto plazo, como suspender o segregar los sistemas en producción y restaurar los sistemas y los datos a partir de las copias de seguridad para reducir la duración de los cierres y las interrupciones.
Cumplir con el mandato de las IR que dan prioridad a la nube
La transformación en la nube conlleva muchas ventajas operativas, económicas y competitivas. Al mismo tiempo, también amplía la superficie de ataque de la organización e introduce nuevas vulnerabilidades. La clave para evitar el riesgo y reforzar las capacidades de IR es adoptar un enfoque que dé prioridad a la nube en la planificación de IR y aprovechar las capacidades integradas en la computación basada en la nube, para optimizar las investigaciones y las resoluciones.